テクニカルFAQ

質問

[セキュリティ情報] PowerChute Network Shutdown v3.1 VMware仮想アプライアンスのBASHの脆弱性の影響について

このページでは、PowerChute Network Shutdown v3.1 VMware 仮想アプライアンスのBASH脆弱性の影響について説明しています。

BASHは、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェルです。
BASHには、任意のOSコマンドを実行されるという脆弱性が発見され、修正パッチが公開されています。
脆弱性の詳細については、以下のサイトを参照してください。

https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

PowerChute Network Shutdown version 3.1のVMware仮想アプライアンスは、このBASHの脆弱性の影響を受けます。

【対象製品とバージョン】

  • PowerChute Network Shutdown Version 3.1 VMware仮想アプライアンス
※バージョン4.0以降は本脆弱性の影響を受けません

【解決方法】
脆弱性がある場合は、OSをアップデートしてください。
以下の手順で脆弱性の確認とOSアップデートができます。
1.仮想アプライアンスが、この脆弱性の影響を受けるかどうか、以下のコマンドを実行して確認することができます。
コマンドの結出力果により脆弱性の有無を確認できます。
脆弱性が解決されている状態では以下のような出力結果が得られます。
なお、この際にWarning Message (Syntax Error)が表示されることがありますが、これは古いパッチを適用した場合に表示されるもので、脆弱性の有無とは関係ありません。

2.脆弱性がある場合、以下のコマンドを実行してください。この脆弱性を解消するためにOSアップデートを実行します。
BASHパッケージのみをアップデートする場合(その他のパッケージにアップデートがある場合でもアップデートを実施しない)は、以下のコマンドを実行してください。

3. 以下のコマンドを実行し、"vulnerable"の文字が出力されず、 脆弱性が解消されていることを確認します。
脆弱性の有無は手順1の説明を参照ください。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
"vulnerable"の文字が表示された場合: 脆弱性がある状態
"vulnerable"の文字が出ない場合: 脆弱性が解決された状態

出力結果例1:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

出力結果例2:
this is a test
yum update
yum update bash
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

【外部ネットワーク接続がない場合】
もしシステムが外部ネットワークに接続しておらず、yumコマンドを利用できない場合は、以下のステップに従ってください。
  1. 外部ネットワークに接続している環境で、以下のサイトよりファイル「bash-3.2-33.el5_11.4.x86_64.rpm」をダウンロードしてください。
  2. 上記のステップでダウンロードしたファイルをFTPユーティリティ(WinSCPやFilezilla等)を用いてPowerChute Network Shutdownアプライアンスにコピーしてください。(この際、コネクションをSFTPに設定してください。)
     
  3. 以下のコマンドを実行し、アップデートを実施してください。
    http://mirror.centos.org/centos/5/updates/x86_64/RPMS/
    rpm -U< bash-3.2-33.el5_11.4.x86_64.rpm を保存したディレクトリのフルパス>

    例) rpm -U /opt/bash-3.2-33.el5_11.4.x86_64.rpm
これは役に立ちましたか?
私たちは情報を改善するために何ができるのでしょうか?